giovedì 28 luglio 2011

Privacy: Legge 106 del 2011 con modifiche al Codice

A maggio era stato emesso il DL 70 del 2011 che (all'articolo 6, comma 2),
tra le altre cose, presentava alcune semplificazioni in materia di privacy.
Ora il DL è stato definitivamente approvato (come mi ha segnalato Franco
Ferrari del DNV) con la Legge 106 del 2011.
Anche con l'aiuto della circolare 19439 di Confindustria (disponibile solo
agli iscritti di Confindustria e altri siti), provo a riassumere i punti
rilevanti:
1. fornita una nuova definizione di "trattamenti effettuati per finalità
amministrativo-contabili", che semplifica gli adempimenti di gestione del
personale; osservo però che molti comportamenti di "buona condotta" del
datore di lavoro (applicazione di misure di sicurezza e non diffusione dei
dati) rimangono attivi.
2. esclusi dall'ambito di applicazione del Codice i trattamenti di dati
effettuati nei rapporti business to business (B2B) per finalità
amministrativo-contabili, con semplificazioni nella gestione dei clienti e
fornitori quando non sono persone fisiche, eliminando la necessità di
informative e raccolte di consenso (peraltro già molto ridotte nel testo
originale del 2003); si potrebbe anche vedere ridotti gli oneri
sull'applicazione delle misure minime e sulle nomine dei responsabili, ma
questo rappresenterebbe una cattiva pratica gestionale, oltre che introdurre
complicazioni quando si deve analizzare gli impatti di ogni misura minima
sui dati personali oggetto del Codice e quelli esclusi
3. esonerate dal consenso le comunicazioni di dati nell'ambito di gruppi
d'impresa, con ovvi benefici per le realtà di gruppo
4. esteso l'ambito di applicazione dell'autocertificazione sostituiva del
DPS; ma, abbiamo visto, in alcuni casi è più "facile" fare il DPS che
seguire le istruzioni per l'autocertificazione, oltre che più produttivo, se
fatto correttamente
5. esclusione dell'obbligo di informativa e consenso per i curricula vitae
trasmessi spontaneamente dall'interessato; con altri ovvi benefici
6. l'estensione del regime di opt-out previsto per le telefonate commerciali
anche al marketing mediante posta cartacea, perché hanno impatto sulle
persone fisiche
Il testo del DL 70 del 2011 consolidato con la Legge 106 del 2011 lo si
trova su www.normattiva.it (cercando il solo DL 70 del 2011).

lunedì 25 luglio 2011

ISO 29110: Software Life Cycle Profiles and Guidelines for Very Small Entities

Nel 2011 è stata pubblicata la ISO 29110 sul ciclo di vita del software per le piccole imprese (fino a 25 persone). Si tratta di uno standard diviso in 5 parti.

Per saperne di più:
https://secure.wikimedia.org/wikipedia/en/wiki/ISO_29110:Software_Life_Cycle_Profiles_and_Guidelines_for_Very_Small_Entities_%28VSEs%29

La notizia mi arriva dal gruppo di LinkedIn "ISO/IEC JTC 1/SC7 Software and Systems Engineering".

Alla fine dell'articolo, ci sono i link per procurarsele. Tre delle 5 parti sono gratis:
http://standards.iso.org/ittf/PubliclyAvailableStandards/index.html.

Firma digitale, questa sconosciuta

Luca De Grazia mi segnala un articolo che lo riguarda in merito alle sue
disavventure nel fare accettare dalla Pubblica Amministrazione dei documenti
firmati digitalmente.
Mi sono ricordato anche che, in forza dell'articolo 16 del DL 185 del 2008)
il 29 novembre tutte le imprese dovranno avere la Posta Elettronica
Certificata per comunicare con la Pubblica Amministrazione.
Luca De Grazia mi ha ricordato che la PEC è strumento diverso dalla
sottoscrizione con firma digitale. Se però oggi siamo a questo punto,
sicuramente ne vedremo delle belle.

mercoledì 20 luglio 2011

Sentenza: Accessi abusivi e 231

Dalla newsletter di Filodiritto segnalo questa sentenza della Cassazione
Penale.
La sentenza tratta di diverse cose. Quelle di rilievo per questo blog sono:
- Punto 9.3: "commette il reato di cui all'articolo 615ter Codice Penale non
solo chi si introduca abusivamente nel sistema informatico protetto, ma
anche chi si intrattenga al suo interno [Nota di Cesare: pur essendo un
utente autorizzato del sistema], contro la volontà espressa o tacita di chi
abbia diritto di escluderlo, per finalità diverse da quella per le quali
l'abilitazione era stata concessa."; in altre parole: gli utenti autorizzati
che usano il sistema informatico per raccogliere dati, senza averne il
permesso esplicito o tacito, commette reato perché abusano della propria
posizione
- Punto 11.3: la società capogruppo può essere chiamata a rispondere, ai
sensi del d. lgs. n. 231 del 2001, per il reato commesso nell'ambito
dell'attività di altra società del gruppo, purchè nella sua consumazione
concorra una persona fisica che agisca per conto della holding perseguendo
anche l'interesse di quest'ultima.

giovedì 14 luglio 2011

Privacy: dei Titolari e dei Responsabili esterni - Parte 4

NOTA del 2018: questo articolo era di inizio 2016 e contiene errori evidenti. Ha trovato risposte con la pubblicazione del GDPR. 

Il 15 giugno, il Garante ha emesso un Provvedimento dal titolo "Titolaritàdel trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali". In questo caso, invita le aziende che danno mandato ad agenti per le attività promozionali a nominare tali agenti "Responsabili del trattamento". Questo pare contraddire alcune riflessioni fatte in post precedenti:

Aggiungo queste riflessioni:
- in questo caso specifico, si tratta di contratti di agenzia e il Garante evidenzia che gli agenti agiscono già nei fatti come responsabili (perché  controllati dal cliente, perché agiscono in suo nome, eccetera);
- nel Provvedimento si cita la definizione di Titolare "cui competono,  anche unitamente ad altro titolare, le decisioni...", ma furbescamente si omette la parte "anche unitamente ad altro titolare" e ancora una volta si evita di darne un'interpretazione
- il Provvedimento asserisce che il Titolare esercita già nei fatti il "controllo" sugli agenti, ma non cita neanche una modalità con cui questo viene effettuato, laddove ogni dizionario equipara il termine "controllo" con quello di "verifica" e non con quello di "fornire indicazioni"; anche qui, ancora una volta, si evita di darne un esempio (mi ricorda molto le non definite modalità di "verifica" delle attività degli Amministratori di  Sistema).

giovedì 7 luglio 2011

Sulla formazione sulla sicurezza

In molti mi chiedono "quale corso seguire" sulla sicurezza. A questo proposito, copio, traduco con qualche modifica e incollo l'editoriale di Hervé Schauer sulla newsletter della sua società di consulenza HSC (sito web www.hsc.fr).

<< Presso HSC un consulente su due ha fatto un master sulla sicurezza. Con questo, hanno imparato, non sempre benissimo, cose che si imparano facilmente in azienda o con la formazione continua. Sono formati a rispondere bene durante i colloqui, ma non a fare quello che oggi non si insegna più nelle aziende: dai fondamentali dell'informatica alla corretta scrittura in francese, oltre a qualche qualità umana.

20 dopo alcune mie iniziative di promozione di corsi specialistici e in un altro contesto, penso che la moltiplicazione dei corsi sulla sicurezza sia nefasta e inutile. Si basa solo sul profitto. Solo la crittologia giustifica pienamente un insegnamento universitario superiore. La scuola deve insegnare a pianificare, amministrare, sintetizzare, essere disciplinati e imparare a imparare e non tecniche di intrusione o le tecniche di risk assessment. >>

L'avrei scritto in modo diverso, ma condivido appieno.

Cobit 5: il draft

L'ISACA ha pubblicato il draft del Cobit5 e chiede commenti. A inizio 2012
dovrebbe pubblicare la versione finale.
Non sono un esperto di Cobit e quindi mi guardo bene dal commentarlo.
Ritengo però sia necessario conoscerlo perché propone dei modelli molto
interessanti, con carte RACI e un elenco di misure tra cui scegliere.
Mi pare di notare che in questa edizione non siano più utilizzati i modelli
di maturità come nel passato, preferendo un modello generale descritto una
volta per tutte nel documento di descrizion del framework.

Top 25 Most Dangerous Software Errors

Agli americani piace fare classifiche e non sempre significative. Questa del
SANS però è interessante e importante perché allinea gli errori di sviluppo
più comuni e pericolosi e fornisce linee guida per evitarli.
- la pagina di introduzione del SANS:

Sicurezza iPhones e Android

Sul gruppo Clusit di LinkedIn, Aldo Ceccarelli segnala questo articolo della
Symantec sulla sicurezza di iPhone e Android:
- l'articolo su Networkworld:
http://www.networkworld.com/news/2011/062811-symantec-mobile-report.html
- il rapporto della Symantec:
http://www.symantec.com/content/en/us/about/media/pdfs/symc_mobile_device_se
curity_june2011.pdf

Non si parla di Blackberry, l'unico per il quale il NIST ha prodotto una
check list di sicurezza:
http://web.nvd.nist.gov/view/ncp/repository/checklistDetail?id=252
Segnalo quindi la guida 800-124 del NIST sulla sicurezza di cellulari e PDA:
http://csrc.nist.gov/publications/nistpubs/800-124/SP800-124.pdf